← volver
CVE-2024-41685

Cookie Without HTTPOnly Flag Set Vulnerability

CVSS 6.9 MEDIUMEPSS 0.5%CWE-1004
En resumen

Las cookies de inicio de sesión del router carecen de la protección HTTPOnly, permitiendo que atacantes las roben mediante scripts maliciosos e hijackeen sesiones de usuarios.

Detalle técnico

CWE-1004: Ausencia del indicador HTTPOnly en cookies de sesión de la interfaz web permite que atacantes basados en JavaScript accedan a tokens de sesión mediante XSS; la explotación requiere proximidad de red o interacción del usuario con script malicioso, pudiendo resultar en acceso administrativo no autorizado.

Resumen generado y traducido por IA a partir de la descripción oficial.
This vulnerability exists in SyroTech SY-GPON-1110-WDONT Router due to missing HTTPOnly flag for the session cookies associated with the router's web management interface. An attacker with remote access could exploit this by intercepting transmission within an HTTP session on the vulnerable system. Successful exploitation of this vulnerability could allow the attacker to capture cookies and obtain sensitive information on the targeted system.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Productos afectados
SyroTech · SyroTech SY-GPON-1110-WDONT router

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2024-0225https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2024-0225